Un estudio de la Universidad de Toronto, Canadá, ha revelado una lista de 25 países cuyos gobiernos hacen o han hecho espionaje telefónico a sus ciudadanos a través de la red móvil y utilizando un software de una empresa israelí llamada Circles. Entre estos aparece El Salvador.
“Determinamos que los gobiernos de los siguientes países son probables clientes de Circles: Australia, Bélgica, Botswana, Chile, Dinamarca, Ecuador, El Salvador, Estonia, Guinea Ecuatorial, Guatemala, Honduras, Indonesia, Israel, Kenia, Malasia, México, Marruecos, Nigeria, Perú, Serbia, Tailandia, Emiratos Árabes Unidos (EAU), Vietnam, Zambia y Zimbabwe”, es una de las principales conclusiones o hallazgos del estudio cuya publicación data del pasado 1 de diciembre y aparece en el sitio citizenlab.ca.
Citizen Lab es un laboratorio interdisciplinario con sede en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, que se centra en la investigación, el desarrollo y la política estratégica de alto nivel y el compromiso legal en la intersección de las tecnologías de la información y la comunicación, los derechos humanos, y seguridad global”, se autodefine la responsable de la publicación.
Esa conexión se determinó a través de 252 direcciones IP y con ello afirman haber identificado 25 gobiernos que probablemente sean clientes de Circles. Dice además que identificaron 25 sucursales gubernamentales específicas.
VEA TAMBIÉN: Ponce y Parker denuncian “espionaje” del Gobierno hacia Asamblea Legislativa
En el caso de El Salvador se identificó a lo que ellos llaman Dirección General de Inteligencia Civil. El cliente que detectaron se identifica como Evoque Lempa cuyo IP detectado es el 201.247-172-155-157.
Se pidió al secretario de Prensa de la Presidencia una reacción sobre este tema, en vista de que tal empresa solo trata con gobiernos, pero hasta el momento seguimos pendientes de su respuesta.
Según el estudio, la investigación fue más allá de la identificación de elementos técnicos que apuntan a un gobierno como cliente, y es que lo más preocupante es que en varios de estos casos, “el gobierno en su conjunto, o el cliente del gobierno en particular, tenga un historial de uso indebido de tecnologías de vigilancia y abusos de derechos humanos”.
En Guatemala, dice el informe, “identificamos un solo sistema de Círculos, Ginetta Galileo” y al parecer es operado por la Dirección General de Inteligencia, pero además dicen que una investigación periodística de 2018 de Nuestro Diario encontró que compraron herramientas espías a un traficante israelí y que la utilizaron para “realizar vigilancia ilegal contra periodistas, empresarios y opositores políticos del gobierno”.
En Emiratos Árabes Unidos, por ejemplo, dicen los investigadores que el gobierno ha utilizado tecnologías de vigilancia para reprimir a la disidencia y perseguir voces críticas.
Una de las grandes preocupaciones externadas en este informe es que en realidad las redes de comunicación inalámbrica son vulnerables y que la industria de la vigilancia tecnológica global está en crecimiento, pero es lamentable que “muchos de los clientes” que al parecer han contratado e implementado tecnologías como la de Circles, tienen un historial de abusos a los derechos humanos y que “muchos carecen de transparencia pública y responsabilidad”.
Además, advierten que estos tienen una supervisión independiente mínima o nula sobre las actividades de sus agencias de seguridad.
Los productos de Circles funcionan sin piratear el teléfono, dice el informe, y solo son vendidos a estados-nación.
“Los clientes de Cicles pueden comprar un sistema que conecta a la infraestructura de sus empresas de telecomunicaciones locales, o pueden utilizar un sistema separado llamado “Circles Cloud”, que se interconecta con empresas de telecomunicaciones de todo el mundo”, dice la publicación.
Según el informe, el DHS (Departamento de Seguridad nacional de EE. UU.) ha expresado “las vulnerabilidades de SS7 y Diameter pueden ser explotadas por delincuentes, terroristas y actores del estado-nación / organizaciones de inteligencia extranjeras” y “muchas organizaciones parecen estar compartiendo o vendiendo experiencia y servicios” que podrían utilizarse para llevar a cabo tales espionaje.
El mecanismo SS7 es con el que opera Circles
En su defensa y ante resultados de investigaciones anteriores, la empresa que opera este mecanismo ha dicho que ellos venden el software a gobiernos con la finalidad de combatir el crimen.
¿Qué es Circles y cómo opera?
Circle fue fundada en 2008, luego fue adquirida por Francisco Partners en 2014; actualmente está fusionada con NSO Group. Según el informe de la universidad de Toronto, es una compañía conocida por “vender sistemas para explotar las vulnerabilidades SS7 y afirma vender esta tecnología exclusivamente a estados-nación”.
NSO Group, a la que está asociada Circles, ha desarrollado el software espía llamado ¨Pegasus” el cual ha causado gran revuelo en México luego de que se descubriera que personas reconocidas como la periodista de investigación y entrevistadora de televisión, Carmen Aristegui, había sido afectada con este sistema de espionaje. Esto trascendió en el gobierno de Enrique Peña Nieto.
A diferencia de “Pegasus”, el mecanismo SS7 con el que opera Circles, no opera por ejemplo mediante un SMS malicioso con el que se apodera del teléfono de la persona objetivo.
Según una demanda contra NSO Group en Israel, dice la publicación, “Círculos envía las ubicaciones de los objetivos y los registros telefónicos (registros de detalles de llamadas o CDR) al Consejo Supremo de Seguridad Nacional de los EAU (SCNS), aparentemente como parte de una demostración de producto. Los correos electrónicos también indican que interceptar llamadas telefónicas de un objetivo extranjero tiene una mayor probabilidad de éxito cuando el objetivo está en itinerancia”.
Añaden que estos comandos permiten al atacante rastrear la ubicación de la víctima e interceptar llamadas de voz y mensajes de texto SMS.
El software está diseñado para incluso interceptar los teléfonos de manera local o en el exterior. “Una de las funciones clave de SS7 en estas redes es manejar el roaming , donde un suscriptor a una “red doméstica” puede conectarse a una “red visitada” diferente, como cuando viaja internacionalmente. En esta situación, SS7 se utiliza para gestionar el reenvío de llamadas telefónicas y mensajes de texto SMS a la “red visitada”, dice el informe.
Los encargados del estudio hacen varias recomendaciones, entre ellas usar claves de acceso a sus aplicaciones como WhatsApp, Signal y Telegram.